Aufsatz : SRB Rechtssache C-413/23P: Der Begriff „personenbezogene Daten“ und das Risiko der Identifizierung : aus der RDV 4/2025, Seite 179 bis 184

Seit jeher hat das Gericht entschieden, dass pseudonymisierte Daten, die an einen Datenempfänger übermittelt werden, nicht als personenbezogene Daten gelten, wenn der Empfänger nicht über die Möglichkeit verfügt, die Daten natürlichen Personen zuzuordnen.^[2]

Nach der Entscheidung des Gerichts legte der EDSB Beru‑ fung ein. Zum Zeitpunkt der Veröffentlichung dieses Artikels hatte der EuGH noch nicht über die Angelegenheit entschieden. Der Generalanwalt hat jedoch seine Schlussanträge^[3] veröffentlicht, in denen er das Urteil des Gerichts bestätigt, wenngleich er feststellt, dass der SRB die Beschwerdefüh‑ rer über seine Absicht, ihre Stellungnahmen an einen Dritten weiterzuleiten, hätte informieren müssen, da dies eine Verpflichtung des für die Verarbeitung Verantwortlichen ist, wenn er personenbezogene Daten erhebt und daher der Pseudonymisierung vorausgeht.

II. Der Begriff der personenbezogenen Daten

1. Rechtsgrundlage

Bevor wir uns mit dem geltenden Recht befassen, möchte ich an Folgendes erinnern. Der SRB-Fall stützt sich auf den Begriff der personenbezogenen Daten in Art. 3 Abs. 1 der Verordnung 2018/1725, der sich an die Organe, Einrichtungen, Ämter und Agenturen der Union richtet. Es ist jedoch von entscheiden‑ der Bedeutung, von nun an im Auge zu behalten, dass Art. 3 der Verordnung 2018/1725 identisch ist mit Art.  4 Abs.  1 der DS‑GVO^[4]. Aus den obigen Ausführungen geht hervor, dass der Gesetzgeber einen einheitlichen Ansatz für den Schutz personenbezogener Daten innerhalb der Europäischen Union anstrebte. Folglich ist Art. 3 Abs. 1 der Verordnung 2018/1725 und Art. 4 Abs. 1 DS‑GVO identisch auszulegen.

Das Konzept der personenbezogenen Daten basiert auf der Definition in Art. 4 Abs. 1 DS‑GVO, in dem es unter anderem heißt: „Personenbezogene Daten sind alle Informationen die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person”) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt bestimmt werden kann, insbesondere durch Zuord‑ nung zu einer Kennung […] identifiziert werden kann”. In Erwägungsgrund (ErwG) 26 der DS‑GVO heißt es in S. 3 und 4: „Um festzustellen, ob eine natürliche Person identifizierbar ist, sollten alle Mittel berücksichtigt werden, die von dem Verantwortlichen oder einer anderen Person nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person direkt oder indirekt zu identifizieren, wie beispielsweise das Aussondern. Bei der Feststellung, ob Mittel nach allgemeinem Ermessen wahrscheinlich zur Identifizierung der natürlichen Person genutzt werden, sollten alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen zu berücksichtigen sind.”

Im Wesentlichen müssen, wie oben dargelegt, zwei Voraussetzungen erfüllt sein, um festzustellen, ob es sich bei den verarbeiteten Informationen um personenbezogene Daten handelt. Es handelt sich um die Kriterien „Bezug zu“ und „Identifizierbarkeit”, die kumulativ erfüllt sein müssen.

Im Rahmen des „relate to”-Tests („Bezug zu”-Test) soll festgestellt werden, ob eine Verbindung bzw. ein Bezug zwischen den fraglichen Informationen und einer natürlichen Person besteht. Im Einklang damit hat die Artikel-29-Daten‑ schutzgruppe (WP) teilweise erklärt, dass […] „ein „Inhaltselement” oder ein „Zweckelement” oder ein „Ergebniselement” vorhanden sein sollte, damit die Daten als „personenbezogen“ angesehen werden.^[5] In der Praxis wird dies fast immer festgestellt, wenn man bedenkt, dass in einem digitalen Raum menschliche Interaktionen oder Kennzeichnungen mit Informationen bis zu einem gewissen Grad unvermeidlich sind. Darüber hinaus stellt die Arbeitsgruppe fest, […] „bei Vorhandensein des inhaltlichen Elements brauchen die an‑ deren Elemente nicht vorhanden zu sein, damit die Daten als personenbezogen angesehen werden können.”^[6]

Wenn also klar ist, dass der Inhalt der verarbeiteten Informationen eine Person betrifft, erübrigt sich die Bewertung von Zweck und Ergebnis. Vermutlich liegt dem die Überlegung zugrunde, dass in Fällen, in denen nicht klar ist, ob der Inhalt selbst unbestreitbar mit einer Person verknüpft ist, die Validierung des Konzepts der personenbezogenen Daten durch die Bewertung der Auswirkungen des „Zwecks” oder „Ergebnisses” der Verarbeitung ausgeweitet werden würde.^[7]

Darüber hinaus stellt der EDSA in seinen Leitlinien fest, dass”[…] vernetzte Fahrzeuge immer größere Datenmengen [generieren], von denen die meisten als personenbezogene Daten betrachtet werden können, da sie sich auf Fahrer oder Insassen beziehen. Auch wenn die von einem vernetzten Fahrzeug erhobenen Daten nicht direkt mit einem Namen, sondern mit technischen Aspekten und Merkmalen des Fahrzeugs verknüpft sind, betreffen sie den Fahrer oder die Insassen des Fahrzeugs.”^[8] Daraus ergibt sich, dass die meisten Daten im Zusammenhang mit vernetzten Fahrzeugen personenbezogene Daten sind, soweit sie sich auf natürliche Personen beziehen können, und daher wahr‑ scheinlich in den Geltungsbereich der Datenschutz-Grundverordnung fallen.^[9]

Die zweite der beiden zu prüfenden Komponenten ist, ob sich die Informationen auf eine identifizierbare Person beziehen. In der Praxis wird der „relate to”-Test fast immer nachgewiesen, aber gleichzeitig sollte nicht immer davon ausgegangen werden, dass sich die Informationen immer auf eine Person beziehen, ohne dass ein gründlicher Test durch‑ geführt wird, um zu beweisen, dass eine Verbindung besteht. In der Praxis liegt der Schwerpunkt jedoch logischerweise auf der Identifizierbarkeitsprüfung (sog. „identifiable”-Test/ „Identifizierbarkeitstest“), ohne die nicht festgestellt wer‑ den kann, dass die Informationen mit einer identifizierbaren betroffenen Person verknüpft sind. ErwG 26 der DS‑GVO unterstreicht dies, indem er unter anderem feststellt: „Die Grundsätze des Datenschutzes sollten für alle Informationen gelten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.“ Dabei sind alle Mittel zu berücksichtigen, die der für die Verarbeitung Verantwortliche oder eine andere Person nach vernünftigem Ermessen einset‑ zen kann. Schließlich hat der EuGH seit langem festgestellt, dass der Begriff der personenbezogenen Daten ein weites Konzept ist, das potenziell alle Arten von Informationen umfasst.^[10]

2. Rechtsprechung

Die Rechtsprechung hat gezeigt, wie wichtig die Prüfung der Identifizierbarkeit ist, die ein entscheidender Faktor bei der Feststellung ist, ob sich die fraglichen Informationen auf eine bestimmte Person beziehen.

In der Rechtssache Breyer^[11] wurden die Informationen über eine dynamische IP-Adresse als personenbezogene Daten eingestuft, obwohl eine dynamische IP-Adresse im Gegensatz zu einer statischen IP-Adresse keine Verbindung zwischen einem Computer und dem physischen Anschluss an das vom Internetdienstanbieter verwendete Netz ermöglicht. Dies bedeutet jedoch nicht, dass eine dynamische IPAdresse keine Informationen über eine identifizierbare natürliche Person enthält.

Das Gericht stellte fest, dass der Anbieter des Online-Mediendienstes, in diesem Fall die Bundesrepublik Deutschland, in der Lage war, die Nutzer zu identifizieren, selbst wenn die Informationen, die für die Zuordnung verwendet werden könnten, bei den Internetdienstanbietern vorhanden wa‑ ren. Das Gericht führte jedoch weiter aus, dass es von entscheidender Bedeutung ist, zu verstehen, dass wir, selbst wenn Zuordnungsinformationen vorhanden sind, kritisch bewerten müssen, ob die Kombination einer dynamischen IP-Adresse mit den zusätzlichen Daten, über die der Internetdienstanbieter verfügt, ein vernünftiges Mittel zur Identifizierung der betroffenen Person darstellt.

Es war vernünftig zu behaupten, dass der Anbieter des Mediendienstes (die Bundesrepublik Deutschland) im Rahmen seiner Befugnisse wahrscheinlich und vernünftigerweise die zur Identifizierung der betroffenen Person erforderlichen Informationen von dem Internetzugangsanbieter erhalten konnte.^[12] Dies zeigt, dass bei der Durchführung einer „Identifi‑ zierungsprüfung” unbedingt zu bewerten ist, ob die gesamte Übung ein Mittel darstellt, das vernünftigerweise zur Identifizierung einer betroffenen Person verwendet werden kann.^[13]

In ähnlicher Weise stellte Generalanwalt Sánchez-Bord‑ ana in seinen Schlussanträgen in der Rechtssache C-319/22 fest, dass „dass die FIN personenbezogene Daten im Sinne von Art.  4 Nr.  1 DS‑GVO sind, sofern derjenige, der Zugang zu ihnen hat, über Mittel verfügen kann, die es ihm bei vernünftiger Betrachtung ermöglichen, sie zur Identifizierung des Eigentümers des jeweiligen Fahrzeugs zu nutzen“.^[14] Wie aus dem obigen Beispiel von Breyer hervorgeht, ist es von wesentlicher Bedeutung, die entsprechenden Daten mit einer identifizierbaren Person zu verknüpfen. Dieses Bewer‑ tungsmuster setzt sich in Novak^[15] fort, wo im Wesentlichen entschieden wurde, dass ein Prüfungsskript, das einem Prüfungskandidaten zugeordnet werden kann, personenbezogene Daten darstellt^[16]. Diese Argumentation folgt auch einem gemeinsamen Thema, nämlich dem Risiko der Re-Identifizierung durch Mittel, die vernünftigerweise zur Identifizierung einer betroffenen Person verwendet werden können.

Darüber hinaus hat der EuGH in der Rechtssache OLAF ent‑ schieden, dass das Risiko der Identifizierung der betroffenen Person durch eine Pressemitteilung nicht als unbedeutend angesehen werden kann, selbst wenn ein durchschnittlicher Leser diese Informationen nicht der betroffenen Person zuordnen könnte, sondern unter der Voraussetzung, dass Leser, die in demselben wissenschaftlichen Bereich arbeiten und mit dem beruflichen Hintergrund dieser Person vertraut sind, diese Informationen dieser Person zuordnen würden.^[17] Informationen können sich also auf eine betroffene Person beziehen, auch wenn diese Informationen als unbedeutend angesehen werden. Wichtig ist, dass eine gründliche Identifizierbarkeitsprüfung durchgeführt wird, bei der jede Möglichkeit in Frage gestellt werden kann, die wahrscheinlich und vernünftigerweise zur Identifizierung der betroffenen Person verwendet werden kann.

Im Zusammenhang mit den Informationen in den vorangegangenen Abschnitten kommen wir nun zum Thema dieses Artikels, nämlich den Schlussanträgen des Generalan‑ walts in der Rechtssache SRB.

III. Schlussanträge von GA Spielmann in der SRB-Rechtssache C-413/223

Es ist möglich, dass der EuGH zu dem Zeitpunkt, an dem Sie diesen Aufsatz lesen, bereits ein Urteil in dieser Angelegenheit gefällt hat. Es genügt zu sagen, dass es trotzdem eine interessante Lektüre ist, weil sie Ihr Verständnis für die Argumentation hinter der Entscheidung des EuGH erweitern und mit der Schlussanträge von GA Spielmann vergleichen oder kontrastieren würden.

In seinen Schlussanträgen vom 06.02.2025 stellt GA Spiel‑ mann die Rechtssache als eine Gelegenheit für den Gerichts‑ hof dar, „im Zusammenhang mit pseudonymisierten Daten den Begriff „personenbezogene Daten“ und die sich daraus ergebenden Verpflichtungen im Hinblick auf die Einhaltung der Verpflichtung zu einer fairen und transparenten Datenverarbeitung zu klären“.^[18]

Wie wir in der obigen Rechtsprechung gesehen haben, ist die Identifizierbarkeit der betroffenen Personen von zentraler Bedeutung, um festzustellen, ob es sich bei den fraglichen Informationen um personenbezogene oder rechtlich gesehen um nicht personenbezogene Daten handelt, wobei letztere nicht in den Anwendungsbereich der DatenschutzGrundverordnung fallen.

Wir werden nun den „relate to”-Test und den „identifiable”-Test im Zusammenhang mit den pseudonymisierten Daten anwenden, die im Mittelpunkt des SRB-Streits stehen.

1. Der „relate to”-Test

In Randnummer 30 folgert der GA, dass „Informationen sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, wenn sie aufgrund ihres Inhalts, ihres Zwecks oder ihrer Wirkung mit einer bestimmten Person ,verknüpft‘ sind”. Er behauptet weiter, dass die Kommentare, die an Deloitte übermittelt wurden, obwohl sie gefiltert, kategorisiert und aggregiert wurden, sich auf bestimmte oder bestimm‑ bare natürliche Personen beziehen, da sie sich auf ihre Verfasser beziehen.^[19] Dies ist vergleichbar mit dem Test, der in der Rechtssache Nowak angewandt wurde, in der die Verbindung auf der Grundlage der Tatsache hergestellt wurde, dass die in einem Prüfungsskript enthaltenen Informationen mit dem Verfasser in Verbindung standen .^[20]

2. Der „identifiable“-Test

Bevor wir den Identifizierungstest anwenden, lohnt es sich, den Kontext der SRB-Sache in Erinnerung zu rufen, denn im Vergleich zur oben zitierten Rechtsprechung geht es in der SRB-Sache bis zu einem gewissen Grad um die Einstufung von pseudonymisierten Informationen. Bei der Verarbeitung personenbezogener Daten müssen die für die Verarbeitung Verantwortlichen Techniken zum Schutz der Privatsphäre (PETS) einsetzen, um die Sicherheit der Verarbeitung zu gewährleisten. Es gibt verschiedene Ar‑ ten von Technologien zum Schutz der Privatsphäre, zu denen auch die Pseudonymisierung gehört.

Bei der Pseudonymisierung werden personenbezogene Daten als eine einzige Eingabe verwendet. Sie führt zu zwei getrennten Ergebnissen: pseudonymisierte Daten und eine Vergleichstabelle, die wir als Zusatzinformationen bezeichnen. Um die Sicherheit zu maximieren, werden diese beiden Informationsgruppen durch wirksame technische und organisatorische Maßnahmen strikt voneinander getrennt, um die Integrität der pseu‑ donymisierten Daten zu gewährleisten. Dieser Dual-Out‑ put-Ansatz stärkt nicht nur die Privatsphäre, sondern schützt auch sensible Informationen vor unbefugtem Zugriff. In Be‑ zug auf die betroffenen Personen ist daher jeder der beiden Outputs nur in Kombination mit dem anderen sinnvoll oder wirkungsvoll.

Daher lautet die Legaldefinition der Pseudonymisierung in Art. 4 Abs. 5 DS‑GVO „die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.“

Wie aus der obigen Definition und dem Standpunkt der Kommission in Ziffer 48 der Schlussanträge der GA hervorgeht, bezieht sich die Definition in Art. 4 Abs. 5 der DS‑GVO auf die Pseudonymisierung als Prozess und nicht auf das Konzept der pseudonymisierten Daten.

Darüber hinaus heißt es in ErwG 26 S. 2 der DS‑GVO: „Einer Pseudonymisierung unterzogene personenbezogene Daten, die durch Heranziehung zusätzlicher Informationen einer natürlichen Person zugeordnet werden könnten, sollten als In‑ formationen über eine identifizierbare natürliche Person betrachtet werden.“ Aus der Konstruktion dieses Satzes lässt sich ableiten, dass der Prozess der Pseudonymisierung dazu führen kann, dass die betroffenen Personen nicht mehr identifizierbar sind. Wie der GA in seinen Schlussanträgen feststellte, wäre S. 2 dieses Erwägungsgrundes andernfalls sinnlos.

Spielmann wies darauf hin, dass „wenn es unmöglich ist, diese betroffenen Personen zu identifizieren, sie daher recht‑ lich gesehen durch den Pseudonymisierungsprozess ausreichend geschützt sind, ungeachtet der Tatsache, dass die zusätzlichen Identifikationsdaten nicht vollständig gelöscht wurden“.^[21] Es kann nicht genug betont werden, dass es nicht darum geht, pseudonymisierte Daten automatisch aus dem Anwendungsbereich der DS‑GVO auszuschließen, sondern dass solche Daten (pseudonymisierte Daten) unter bestimm‑ ten Bedingungen nicht unter den Begriff der personenbezo‑ genen Daten fallen.

Mit Blick auf den Wortlaut von ErwG 26 S. 2 erinnert uns der GA daran, dass Daten nur dann rechtlich nicht als personenbezogene Daten eingestuft werden können, wenn die Gefahr einer Identifizierung nicht besteht oder unbedeutend ist.^[22] Es genügt zu sagen, dass es wichtig ist, sich vor Augen zu halten, dass die Fähigkeit des SRB zur Re-Identifizierung der betroffenen Personen nicht automatisch dazu führt, dass die übermittelten Daten für den Empfänger als personenbe‑ zogene Daten eingestuft werden. Diese Unterscheidung ist wesentlich.

Die obige Betonung der GA steht im Einklang mit der Argumentation in der Rechtssache Breyer, in der das Gericht im Wesentlichen feststellte, dass Informationen, die sich auf eine betroffene Person in einer IP-Adresse beziehen, nicht in den Anwendungsbereich der DS‑GVO fallen, „wenn die Identifizierung der betreffenden Person gesetzlich verboten oder praktisch nicht durchführbar wäre, z.B. weil sie einen unver‑ hältnismäßigen Aufwand an Zeit, Kosten und Arbeitskräften erfordern würde, so dass das Risiko einer Identifizierung de facto vernachlässigbar erschiene“. ^[23]

Im Rahmen eines alternativen zweiten Rechtsmittelgrun‑ des wies der GA darauf hin, dass “[…] es dem EDSB obliegt, nachzuweisen, aus welchem Grund, sei es rechtlich oder technisch, das vom SRB im vorliegenden Fall durchgeführte Pseudonymisierungsverfahren nicht ausreichend war und zu dem Schluss hätte führen müssen, dass Deloitte personenbezogene Daten verarbeitet“.^[24] Im Wesentlichen stimmt der GA mit dem Gericht überein, indem er feststellt, dass der EDSB die Beweislast für den Gegenbeweis tragen sollte, dass die an Deloitte übermittelten pseudonymisierten Daten nicht robust genug waren, um rechtlich einer Einstufung als personenbezogene Daten zu entgehen.

Wie das Gericht feststellte, konnte der EDSB natürlich nicht zwingend nachweisen, dass es sich bei den von SRB an Deloitte übermittelten pseudonymisierten Daten um personenbezogene Daten handelt. Die Behauptung des EDSB, dass die Informationen, die Deloitte von SRB erhalten hat, als personenbezogene Daten eingestuft werden sollten, war daher anmaßend.

IV. Auswirkungen

Erstens ist es von entscheidender Bedeutung zu erkennen, dass der GA in seinen Schlussanträgen in der Rechtssache SRB an dem von Breyer aufgestellten strengen Standard für die Identifizierung von Informationen als nicht personenbezoge‑ ne Daten festgehalten hat. Der Kontext, in dem diese Schlussanträge angewandt werden, ist nicht nur wichtig, sondern entscheidend für das Verständnis ihrer Auswirkungen. Die Schlussfolgerung hierzu ergibt sich aus der Aussage des GA, als er in Randnummer 57 feststellte, dass „dies nur dann der Fall sein kann, wenn das Risiko der Identifizierung nicht vorhanden oder so gering ist, dass die Daten rechtlich nicht als personenbezogene Daten eingestuft werden können“

Zweitens wird sich die Entscheidung des EuGH als letzte Instanz in gewisser Weise auf die gemeinsame Nutzung von Daten im Rahmen des Data Act im Zusammenhang mit dem Internet der Dinge (IoT) auswirken. Wie wir bereits ge‑ sehen haben, heißt es beispielsweise in den EDSA-Leitlinien zu vernetzten Fahrzeugen: „[…] vernetzte Fahrzeuge immer größere Datenmengen [generieren], von denen die meisten als personenbezogene Daten betrachtet werden können, da sie sich auf Fahrer oder Insassen beziehen. Auch wenn die von einem vernetzten Fahrzeug erhobenen Daten nicht direkt mit einem Namen, sondern mit technischen Aspekten und Merkmalen des Fahrzeugs verknüpft sind, betreffen sie den Fah‑ rer oder die Insassen des Fahrzeugs […]. Solche technischen Daten werden von einer natürlichen Person erzeugt und ermöglichen ihre direkte oder indirekte Identifizierung durch die Person, die für die Verarbeitung der Daten verantwortlich ist (im Folgenden „Verantwortlicher“), oder durch eine andere Person“.^[25]

Drittens werden sich die Schlussanträge des GA, wenn sie Bestand haben, positiv auf Auftragsverarbeiter in ähnlichen Situationen auswirken, denn wie der GA unter Randnummer 58 seiner Schlussanträge erwähnt, stellt er fest, dass es „[…] unverhältnismäßig ist, einem Unternehmen, das die betrof‑ fenen Personen nicht angemessen identifizieren kann, Verpflichtungen aus der Verordnung 2018/1725 aufzuerlegen, die dieses Unternehmen theoretisch nicht erfüllen könnte oder die es speziell dazu verpflichten würden, die betroffenen Personen zu identifizieren“

Schließlich liegt die Beweislast bei den Aufsichtsbehör‑ den, zu prüfen, ob die pseudonymisierten Daten robust genug sind, um als rechtlich nicht personenbezogene Daten zu gelten. Auf den ersten Blick mag dies den Anschein erwecken, dass die Verantwortung vom für die Verarbeitung Verantwortlichen auf die Aufsichtsbehörden verlagert wird. Meiner Ansicht nach und vor allem in der Praxis wäre diese Behaup‑ tung weit von der Realität entfernt. Wenn wir uns an ein ähnliches Beispiel erinnern, so stellte der GA fest, dass die Informationspflicht des für die Verarbeitung Verantwortlichen der Pseudonymisierung vorausgeht und der für die Verarbeitung Verantwortliche daher unabhängig von der Sichtweise des Empfängers die Beschwerdeführer darüber hätte informieren müssen, dass die Kommentare an Deloitte weitergeleitet werden würden. Das bedeutet, dass die Grundsätze für die Verarbeitung personenbezogener Daten dem Prozess der Pseudonymisierung vorausgehen. Im Übrigen dient Art.  30 der DS‑GVO genau diesem Zweck, und dankenswerterweise hebt der SRB-Fall dieses entscheidende Element hervor, indem er den Aufsichtsbehörden die Möglichkeit gibt, das von dem für die Verarbeitung Verantwortlichen geführte Verzeichnis der Verarbeitungstätigkeiten anzufordern, um ihre Beweislast zu beseitigen.

V. Schlussfolgerung

Wie wir gesehen haben, wurde in der Rechtssache SRB sowohl vor dem Gericht als auch in den Schlussanträgen des GA eines der beiden Schlüsselelemente des Begriffs der personenbezogenen Daten nicht erfüllt. Der GA stellte fest, dass sich die an Deloitte übermittelten Informationen auf die Verfasser dieser Kommentare beziehen; da der EDSB jedoch keine Beweise für das Gegenteil vorlegte, dass es sich bei den übermittelten Daten rechtlich gesehen um nicht personenbezogene Daten handelte, wie von SRB behauptet, konnte nicht festgestellt werden, dass die übermittelten Daten mit den Verfassern der besagten Kommentare identifiziert werden konnten.

Im Zusammenhang mit dem SRB-Fall ist es von entscheidender Bedeutung, die Identifizierbarkeitsprüfung aus der Sicht des Empfängers, insbesondere von Deloitte, zu bewerten. Es stellt sich eine dringende Frage: Wäre es gerechtfertigt, einer Einrichtung, die nicht in der Lage ist, die betroffenen Personen vernünftig zu identifizieren, Datenschutzpflichten aufzuerlegen?

_{[1] Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen und sonstigen Stellen der Union, zum freien Datenverkehr und zur Aufhebung der Verordnung (EG) Nr. 45/2001 und des Beschlusses Nr. 1247/2002/EG.}

_{[2] In der Rechtssache T-557/20 Single Resolution Board gegen den Europäischen Datenschutzbeauftragten [2023] ECLI:EU:T:2023:219.}

_{[3] Schlussanträge des Generalanwalts Spielmann in der Rechtssache C-413/23P Europäischer Datenschutzbeauftragter gegen Single Resolution Board [2025] ECLI:EU:C:2025:59.}

_{[4] Siehe Art.  98 DS‑GVO und die Erwägungsgründe 4 und 5 der Verordnung 2018/1725.}

_{[5] Artikel-29-Datenschutzgruppe, „Stellungnahme 4/2007 zum Begriff der personenbezogenen Daten“, https://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_en.pdf, S. 11, Zugriff am 20.03.2025.}

_{[6] Ebd. S. 13 f.}

_{[7] Beispiele für solche Situationen finden sich auf Seite 13 der Stellungnahme WP 4/2007.}

_{[8] EDSA-Leitlinien 01/2020 zur Verarbeitung personenbezogener Daten im Zusammenhang mit vernetzten Fahrzeugen und mobilitätsbezogenen Anwendungen, https://www.edpb.europa.eu/system/files/2021-03/edpb_guidelines_202001_connected_vehicles_v2.0_adopted_en.pdf, Rn. 3, Zugriff am 10.04.2025.}

_{[9] Ebd. S. 62.}

_{[10] Ebd. Nr. 2 Abs. 29.}

_{[11] In der Rechtssache C-582/14, Patrick Breyer gegen Bundesrepublik Deutschland [2016] ECLI:EU:C:2016:779.}

_{[12] Ebd. Rn. 47.}

_{[13] Ebd. Rn. 45.}

_{[14] Schlussanträge des Generalanwalts Campos Sánchez-Bordona, Gesamtverband Autoteile-Handel e.V. gegen Scania CV AB, Rn. 42.}

_{[15] Rechtssache C-479/22 P, OC gegen Europäische Kommission [2024] ECLI:EU:C:2024:215, Rn. 61.}

_{[16] Ebd. Rn. 35.}

_{[17] Rechtssache C-479/22 P, OC gegen Europäische Kommission [2024] ECLI:EU:C:2024:215, Rn. 61.}

_{[18] Übersetzung des Verfassers: Ebd. Nr. 2 Abs. 2.}

_{[19] Übersetzung des Verfassers: Ebd. Nr. 2 Abs. 39.}

_{[20] Ebd. Nr. 15 Abs. 41.}

_{[21] Übersetzung des Verfassers: Ebd. Nr. 2 Abs. 51.}

_{[22] Ebd. Nr. 2 Abs. 57.}

_{[23] Ebd. Nr. 11 Abs. 46.}

_{[24] Übersetzung des Verfassers: Ebd. Nr. 2 Abs. 96.}

_{[25] Ebd. Nr. 8 S.4.}